Åbning af port

Afhængig af din routerløsning, er det helt korrekt.

De fleste "lavpris" routere har faktisk åben for alt undtagen højrisikoporte udadgående. Highend løsninger er som regel både/og.

normale router tillader alt trafik der kommer LAN siden ud til WAN siden (internettet)

åbning af port er normalt at man tillader trafik fra WAN siden ind til LAN siden og hvorden så peger på den rigtige enhed(server, printer, etc.)

så bliver nok nød til at have noget mere info om hvad det er fornoget gear vi snakker om.

Det er Cisco WS-C2960X-24PS-L der står på lokationen, og det er et ventilationsanlæg der skal kommunikeres med.

Men som det er nu er der lukket for port 55556 i begge retninger, men spørgsmål går mere på om det kan lade sig at kun at åbne for udadgående trafik og så enheden kan åbne en "to-vejs" kommunikation selvom der ikke er åbnet for indadgående trafik.

Det kommer også an på den datastrøm der kører.

Hvis ventilationsanlægget starter kommunikationen udadgaående, vil der ikke være noget problem, så længe sessionen er i live. Men droppes sessionen, kan "WAN" dimsen ikke længere snakke med ventilationsanlægget, før dette igen henvender sig.

Det er ventilationsanlæget der starter kommunikationen, men hvordan kan den få lov til at tillade indadgående trafik, når det oprindeligt er lukket i firewall'en?

Og hvordan vil du som bruger beder om information fra anlægget? Skal man så vide at præcis kl. 11 der sender den sin information og så du sidde klar, så du også kan kommunikerer den anden vej??

Indgående traffik tillades, fordi den er båret i en eksisterende session/datastrøm.

Den anden vej, vil ventilationsanlægget nok snakke med en server, hvor der netop er åben for porten. Dermed vil serveren altid være i stand til at lytte og besvare ventilationsanlægget.

Opfat ventilationsanlægget som en telefonsælger der ringer til dig. I det øjeblik sælgeren lægger røret på, har du ingen mulighed for at ringe retur. Men sælger kender dit nummer, og kan derfor til enhver tid nå din IP og port (telefonnummer).

Måske ikke verdens bedste eksempel - men i grove træk sådan det hænger sammen.

Altså... - der skal ikke være åben for den indadgående trafik, fordi det er ventilationsanlægget der ringer op indefra, og dermed kører kommunikationen på en eksisterende "telefonlinje".

Super svar.
Tak for hjælpen :)

Det overvågnings SW jeg kender lidt til, sender kun.
Det er en envejs kommunikation.
Og ja, det kører på secure socket.

Enheden sender events og ID når der er nogen.
Nogle sender heart beats, og configuration, scheduleret. Og modtager man ikke et HB i den anden ende, på det forventede tidspunkt, kontakter man kunden.

Håber du læser dette Ole? Har nemlig et lille spørgsmål mere.

Hvis datastrømmen skal være aktiv for at kommunikerer indad, hvordan vil du som teknisk personale, så tilgå ventilationsanlægget når du ikke er på adressen.
Anlægget kan jo ikke vide hvornår du vil snakke med det? Eller forbliver datastrømmen åbnet, så snart der har  været forbindelse én gang?

Ex. Du sidder som teknker og vil tilgå noget information hjemmefra, kl. 21.00. Du tænder din pc, logger på serveren via en hjemmeside. Hvordan skal enheden vide at du gerne vil snakke med den, når der kun er tilladt trafik den anden vej? Eller sender man et "bip" fx ligesom WakeOnLAN?

Det er jo et rigtig godt spørgsmål, som jeg ikke kan svare på :-) - jeg kender nemlig ikke udstyret - det gør kun dem der har sat det op.

Men hvis nogen påstår det kan lade sig gøre, kan det kun være ved at ventilationsanlægget kontinuerligt holder forbindelsen aktiv. Mistes forbindelsen (internettet går ned) vil ventilationsanlægget af sig selv genoprette forbindelsen.

Dermed vil teknikeren altid kunne logge på serveren og få forbindelse til ventilationsanlægget.

Man vil ikke kunne nå ind til ventilationsanlægget, uden at dette holder en aktiv forbindelse. I så fald skulle der nemlig åbnes en port, og en portforward sættes op til ventilationsanlægget.